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CIRCUIT INTEGRE INTELLIGENT. 

La presente invention concerne un circuit integr6 intel- 
ligent. 

Ce circuit integre intteligent est caract6ris6 en ce qu'il 
possede un processeur principal (1) et un systerne d'exploi- 
tation executant un programme principal (P1) pour const}- 
tuer un processus principal realisant des inches, au moins 
un processeur secondaire (2) capable d'executer concur- 
remment au moins un programme secondaire (P2) pour 
constituer au moins un processus r^alisant des taches, des 
circuits d'alimentation (6) communs entre les processeurs et 
des moyens permettant de s'assurer que le ou les proces- 
sus secondaires d'energie similaire et de signature de fonc- 
tionnement differente, s'effectuent concurremment avec le 
processus principal en indulsant dans les circuits d'alimen- 
tation, de facon continue ou intermittente, des perturbations 
energetiques qui se superposent & celles du processus prin- 
cipal pour realiser un brouillage continu ou intermittent 
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"CIRCUIT INTEGRE INTELLIGENT" 

II est connu que les microprocesseurs ou les microcalculateurs ou des 
5 circuits integr6s intelligents ex6cutent s6quentiellement des instructions d'un 
programme enregistre dans une m6moire, en synchronisme avec un ou 
plusieurs signaux de cadencement references par rapport d des signaux 
d'horloge fournis au microprocesseur ou au microcalculateur ou au circuit 
integre soit en interne soit en externe. Par circuit int6gr6 intelligent, on 
10 comprend un circuit integre comportant des circuits sp6cifiques et limites d 
('execution d'un nombre restreint destructions ou de fonctionnalites pour 
lesquels ils ont 6te specifiquement developpes. 

II s'est av6r6 possible de tracer les differentes phases de cette 
execution de programme en fonction du temps puisque Pex6cution des 

is instructions s'effectue s6quentiellement suivant un processus predetermine par 
ce programme, en general en synchronisme avec les signaux d'horloge qui 
cadencent r§guli£rement le processeur. En effet, tout programme se traduit par 
une suite d'instructions qui doivent etre ex6cut6es successivement dans un 
ordre connu & Tavance, les instants de debut et de fin de chaque instruction 

20 etant parfaitement connus car elle s ? ex£cute suivant un processus 
predetermine qui, pour des moyens d'analyse sophistiqu£s, possede ce que 
Ton peut appeler une n signature " reconnaissable. II est connu que cette 
signature du processus peut, par exemple, etre obtenue & partir des signaux de 
mesure des energies consommees par les differents circuits eiectriques qui 

25 sont mis en oeuvre par Tinstruction ou la sequence d'instructions ex6cutee. II 
est done en principe possible de connaTtre la nature de la sequence 
d'instructions qui s'execute & un moment donne dans I'unite de traitement du 
processeur puisque le programme qui se d6roule est constitue de cette suite 
predeterminee d'instructions dont la signature est connue. 

30 On peut arriver par de tels moyens a determiner quelle est Tinstruction 

particuliere qui s'execute ainsi que les donn6es utilisees par cette instruction. 
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Cette possibility de pouvoir observer les details de deroulement d'un 
programme dans un microprocesseur ou un microcalculateur est un 
inconvenient majeur lorsque ce microprocesseur ou microcalculateur est utilise 
dans des applications de haute s6curit6. En effet, un individu mal intentionn£ 
5 pourrait ainsi connaTtre les etats successifs dans lesquels se trouve le 
processeur et tirer parti de ces informations pour connaTtre certains r6sultats 
sensibles de traitement interne. 

On peut imaginer, par exemple, qu'une action donn6e puisse se 
produire & des instants differents en fonction du r6sultat d'une operation 

10 s6curitaire d£termin6e, tel que le test d'une information confidentielle interne ou 
le dechiffrement d'un message, ou encore le controle d'int6grit6 de certaines 
informations. Selon I'instant consider^, on pourrait, par exemple agir sur le 
processeur, ou obtenir la valeur de certains registres par investigation 
physique, afin d'obtenir des renseignements sur le r6sultat ou sur le contenu 

15 confidentiel de reformation, et ceci m§me dans le cas de calculs 
cryptographiques sur la cl£ secrete de chiffrement utilis6e. 

II est connu des dispositifs qui apportent un premier perfectionnent aux 
microcalculateurs s6curis6s en les dotant de circuits qui g£n6rent des 
impulsions d'horloge aleatoires. De cette manifere, les investigations rendent 
20 particulidrement difficile Tobservation des 6v6nements, puisque leur 
synchronisation devient vite impraticable et la survenance d'un 6v6nement 
devient difficilement pr6visible. 

Cependant, ce type de solution pr6sente de nombreux inconv6nients. 

Tout d'abord, la conception de tels circuits est particulierement delicate 
25 et fastidieuse car il n'est pas possible de simuler un fonctionnement aleatoire 
dans la totality d'un circuit aussi complexe qu'un microcalculateur et encore 
plus difficile de tester ces circuits en fin de fabrication dans leur comportement 
brouille. Une suite a!6atoire d'impulsions d'horloge est, en effet, tr6s difficile d 
simuler pour la mise au point des circuits, mais il est encore plus difficile de 
30 maitriser tous les comportements de I'ensemble des circuits logiques du 
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processeur, notamment pendant les p6riodes de commutation des signaux sur 
les bus internes et dans les registres. 

II est aussi connu un autre dispositif objet de la demande de brevet 
FR 2 765 361 de la demanderesse qui introduit une nouvelle architecture 
5 bas6e sur I'utilisation d'une m6moire trompe-roeil utilis6e ou non par le 
microprocesseur de fa$on totalement desynchronis6e par rapport au milieu 
exterieur. De cette manure, I'observation des 6v6nements et des signatures 
est rendue particulterement difficile. 

Cependant, rutilisation d'une horloge aleatbire ou d'une m^moire 
10 trompe-I'oeil, m§rne si elles apportent des perfectionnements interessants, ne 
modifie pas le comportement de base du microprocesseur qui est toujours 
s£quentiel, m§me si les instructions qui se succedent font partie de processus 
differents. II reste done th6oriquement possible de " filtrer " les mauvaises 
instructions pour ne conserver que les bonnes et ainsi tirer parti des 
is informations 6manant du microprocesseur. 

Un autre inconv6nient reside dans le fait que Ton doit sauvegarder les 
contextes d'ex6cution des programmes interrompus par des sequences 
trompe-roeil et les r£tablir, ce qui n6cessite pour cette sauvegarde des 
ressources m6moires non n6gligeables. 

20 C'est un des buts de Tinvention que de doter le circuit int6gr6 intelligent 

de moyens interdisant le type d'investigation d6crit plus haut, et plus 
g6n6ralement d'empfecher toute interpretation des signaux provenant du 
processeur ou de Tunite de traitement principale. Ce type de circuit est appele 
"MUMIC" (Multi Untraceable Microcomputer). 

25 Ce but est atteint par le fait que le circuit int£gr6 intelligent poss^de un 

processeur principal et un systeme d'exploitation executant un programme 
principal pour constituer un processus principal r6alisant des taches, au moins 
un processeur secondaire capable d'ex6cuter concurremmment au moins un 
programme secondaire pour constituer au moins un processus r6alisant des 

30 taches, des circuits d'alimentation communs entre les processeurs et des 



BNSDOCID: <FR 2787900A1_L> 



4 



2787900 



moyens permettant de s'assurer que le ou les processus secondares d'energie 
similaire et de signature de fonctionnement differente, s'effectuent 
concurremment avec le processus principal en induisant dans les circuits 
d'aiimentation, de fa£on continue ou intermittente, des perturbations 
5 energetiques qui se superposent d celles du processus principal pour r6aliser 
un brouillage continu ou intermittent. 

i 

Selon une autre particularity, les processeurs principaux ou 
secondaires sont chacun un microprocesseur ou microcalculateur s6curis6 

Selon une autre particularity, Pactivation de ces moyens est declenchfee 
10 par le systeme d'exploitation du processeur principal (1) du circuit integry 
intelligent, de telle sorte que la s6curit§ suppl6mentaire cr66e par les moyens 
ci-dessus ne depend que d'une decision resultant de Tex6cution par le 
processeur principal du systeme d'exploitation situ6 dans un endroit du circuit 
integry inaccessible.de I'exterieur. . . . 

15 Selon une autre particularity, le circuit intygry intelligent possede une 

m^moire principale, dedtee au processeur principal, contenant le systeme 
d'exploitation dans au moins une partie de celle-ci inaccessible de I'exterieur et 
accessible par au moins un des deux processeurs et une m6moire secondaire 
respectivement dedi6e au processeur secondaire. 

20 Selon une autre particularity, le circuit intygry intelligent possfede au 

moins un busde communication entre les processeurs, leurs mymoires 
respectives et un circuit d'entree sortie 

Selon une autre particularity, le circuit intygry intelligent est ryalisy 2 
Paide de circuits logiques dispersys sur le ou les substrats de fa?on que 
25 Pimplantation physique des deux processeurs soit ryalisye sans blocs 
fonctionnels facilement repyrables, par exemple par imbrication physique mais 
avec une organisation logique syparye. 

Selon une autre particularity, le processeur secondaire exycute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
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fonctionnement du processeur principal. 

Selon une autre particularity, le processeur secondaire execute des 
taches du processus secondaire correl6es £ celles du processus principal 
execute par le processeur principal de fagon telle que les r£sultats 
interrn£diaires de traitement n'apparaissent jamais au cours du processus. 

Selon une autre particularite, le programme secondaire utilise un 
espace de travail plus petit que celui du programme principal. 

Un second but de Tinvention est de faire en sorte que le processus 
principal ne puisse fonctionner que si le processus secondaire est op£rationnel. 

Ce second but est atteint par le fait que le circuit integr6 intelligent 
possede des moyens de communication entre le processeur principal et le 
processeur secondaire. 

Selon une autre particularite, les moyens de communication entre les 
deux processeurs permettent au processeur principal de savoir si le processeur 
secondaire est op6rationnel ou non. 

Selon une autre particularity, les moyens de communication entre les 
deux processeurs permettent au processeur principal de r6aliser une 
authentication du processeur secondaire. 

Selon une autre particularity, le test d'authentification ou de 
fonctionnement du processeur secondaire est r6alis6 en cours de traitement 
par le processeur principal. 

Selon une autre particularite, le moyen d'activation du processeur 
secondaire est commande soit par le processeur principal et son programme 
principal, soit par un systeme d'interruption, soit par un compteur de temps, soit 
encore par une combinaison des trois 

Un troisteme but de ('invention est de faire en sorte que le processus 
secondaire mette en oeuvre un programme qui est totalement different du 
programme principal. 
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Ce troisteme but est atteint par le fait que le processeur secondaire 
execute des taches du processus secondaire sans correlation avec celles du 
processus principal ex6cutees par le processeur principal. 

Selon une autre particularity, le processeur secondaire execute des 
5 taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal. 

Un quatrifeme but de ('invention est que le programme secondaire utilise 
un programme dont la signature induit des effets opposes d ceux 6manant du 
processeur principal. 

10 Ce quatrteme but est atteint par le fait que le programme secondaire 

met en oeuvre un processus corr6l6 au processus principal, de telle fagon que 
la combinaison des deux processus fournisse une signature de fonctionnement 
du processeur secondaire qui dissimule celle du processeur principal. 

Selon une autre particularity, le processeur secondaire execute des 
15 taches corr&lees d celles du processeur principal de fa?on telle que les 
r£sultats intermediates de traitement n'apparaissent jamais au cours du 
processus. 

Un cinquteme but de I'invention est de r6aliser une architecture 
originate en utilisant des circuits validgs, sans avoir besoin de cr£er une 
20 nouvelle technologie de semi-conducteurs ou de nouveaux proced6s de 
fabrication. 

Ce cinquteme but est atteint par le fait que le processeur secondaire 
peut se substituer au processeur principal et r6ciproquement. 

Selon une autre particularity, le processeur secondaire execute des 
25 taches corrSlees d celles du processeur principal par synchronisation des 
processus et comparaison de valeurs de deux donn6es provenant chacune du 
processeur respectif executant son programme respectif. 

Selon une autre particularity, le processeur secondaire execute des 
taches corr6l6es d celles du processeur principal par deduction logique du 
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programme secondare £ partir du programme principal. 

Selon une autre particularite, le circuit integre intelligent comporte au 
moins deux processeurs et chacun des processeurspossede un bus respectif 
auxquels sont reliees les m6moires vives, mortes pour chaque processeur et 
non volatile pour le processeur principal. 

Selon une autre particularite, le circuit integre intelligent comporte une 
pluralite de processeurs dont chacun est relie d un seul et m£me bus de 
communication multiplexe entre les processeurs et un ensemble de memoire 
vive, mode et non volatile relie d ce bus, les conflits d'acces £ ce bus commun 
etant g6r6s par un circuit d'arbitrage. 

Selon une autre particularite, le processeur secondaire execute 
successivement et dans n'importe quel ordre, soit des programmes corr6les, 
soit des programmes sans correlation avec ceux executes par le processeur 
principal. 

D'autres particularites et avantages de ('invention apparaitront plus 
clairement d la lumiere de la description qui va suivre, faite en reference aux 
dessins annexes dans lesquels : 

- la figure 1 repr6sente un schema logique d'un mode de realisation du 
circuit integre de I'invention a deux processeurs avec chacun leur bus ; 

- la figure 2a repr6sente un exemple de realisation d'un circuit de 
communication entre deux processeurs du circuit ; 

- la figure 2b repr6sente la structure d'une trame utilis6e dans la 
communication entre les deux processeurs du circuit ; 

- la figure 3 repr6sente un schema d'un mode de realisation du circuit 
integre de ('invention 3 deux processeurs avec un seul bus ; 

- la figure 4 repr6sente un schema d'un mode de realisation d'une 
protection par synchronisation et comparaison de deux valeurs de donn6es 
provenant de chaque processeur ; 
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- la figure 5 repr6sente un exemple de realisation d'une m6moire 
double ports accessible sur chaque port par un processeur du circuit ; 

- la figure 6 repr6sente sch6matiquement un mode d'implantation 
physique des elements du circuit selon 1'invention ; 

- la figure 7 repr£sente le mode d'implantation traditionnel des elements 
d'un circuit £ deux processeurs. 

Le circuit integre intelligent objet de I'invention est appele MUMIC (Multi 
Untraceable Microcomputer) et une premiere variante de sa constitution 
logique va etre explicitee en liaison avec la figure 1. Cette constitution logique 
n'est pas representative de la constitution physique ou de Hmplantation 
topologique, comme on le verra par la suite. Ce circuit integr6 intelligent est 
constitu6 d'un processeur principal (1) et d'un processeur secondaire (2), 
chacun des processeurs utant connects par son bus de communication 
(Adresses, ^Donn6es et commandes) respectif (3,4) & des m6moires 
respectives (12,13,22) contenant le programme principal (P1) et le programme 
secondaire (P2) & ex§cuter par chacun des processeurs respectifs principal (1) 
et secondaire (2), et des registres de travail , tels que, par exemple, des 
m6moires volatiles RAM (11,21). Les m6moires reliees au processeur 
secondaire sont des m6moires n trompe I'aeil " vive (DumRAM 21) et morte 
(DumROM 22) qui permettent au processeur secondaire (2) d'ex6cuter des 
taches se superposant d celles du processeur principal (1). Le systeme 
d'exploitation du processeur principal est, par exemple, contenu dans une 
partie inaccessible de Texterieur de la m6moire morte (12), mais accessible par 
au moins un des deux processeurs. Chaque processeur (1, 2) possede son 
propre s6quenceur (19, respectivement 20). Le circuit integr£ selon ('invention 
comporte 6galement un circuit d'entr6e sortie (14) relie, d'une part au bus 
unique ou au bus du processeur principal lorsque le circuit est r6alis6 selon une 
variante d plusieurs bus et d'autre part, par exemple par des contacts ou un 
dispositif de liaison sans contact au monde ext§rieur pour recevoir les signaux 
d'un terminal. Un ensemble de registres (R1, R2, R3) et un circuit d'interruption 
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(15) peuvent etre rajoutes au processeur qui en a besoin pour la mise en 
ceuvre d'une des variantes de fonctionnement correspondant £ une variante de 
realisation decrite ci-apres. Les trois Elements (R1, R2, R3) sont relies & un 
circuit de generation d'interruption (15) lequel est branche sur les entrees 
d'interruption du processeur (en Toccurrence le principal). 

Le systeme d'exploitation du processeur principal (1) est unique dans le 
cas d'une variante processeur principal maitre processeur secondare esclave 
et se trouve dispose dans la memoire morte (12) accessible par le processeur 
principal. Lorsque cela est necessaire pour les variantes ou les processeurs 
peuvent avoir leurs r6les 6changes, un deuxieme systeme d'exploitation ou le 
m€me systeme d'exploitation peuvent etre rendus accessible au processeur 
secondare, par exemple par un 6change de jeton de droit d'acces et un 
contr6le de ce droit d'acces avant que le processeur ne passe la main a I'autre. 
De mfime un circuit d'interruption peut etre rajoute d chaque processeur qui en 
a besoin pour le r6le qu'il doit jouer, en particulier dans le cas de Pechange de 
r6le ou dans la variante de realisation de la figure 2a. 

Le programme principal (P1) est contenu dans la memoire non volatile 
(13) et Putilisation des memoires trompe-roeil correspond £ celle decrite dans la 
demande de brevet frangais publiee sous le numero FR 2 765 361, en tenant 
compte du fait qu'il peut y avoir simultaneite d'ex6cution entre au moins deux 
processeurs du circuit integre intelligent. Dans un tel cas, les deux types de 
memoires (trompe Toeil et les autres) sont exploitees pendant les mSmes 
periodes, ceci mSme si le bus est en r6alit6 multiplexe. 

Le circuit int6gr6 comporte egalement une interface d'entree sortie 
reliee d au moins un bus du circuit integre, cette interface pouvant etre du type 
soit parallele/parallele, soit parallele/ s6rie. Dans une variante de realisation, la 
memoire vive de travail RAM (11) du processeur principal (1) peut etre 
fusionnee avec la memoire vive trompe-roeil (21 DumRAM) du processeur 
secondaire (2) pour former une seule et meme memoire double ports comme 
represente figure 5. Ces memoires double ports, vive (11-21)) utilisent une 
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paire de registres d'adresse (110, 210), pour recevoir les signaux d'adresse 
(ADDO, ADD1) et permettre Faeces par le processeur principal (1), 
respectivement secondaire (2). Ces m6moires double ports, vive (11-21), 
utilisent 6galement une premiere paire (11 1 , 21 1) de registres de donn^es pour 
5 permettre Pacces en lecture de donn6e par le processeur principal (1), 
respectivement secondaire (2). Les sorties des registres de donn6e de lecture 
sont reliees a des amplificateurs (113, 213) qui delivrent les signaux de 
donn6es (DO, D1). Enfin ces m6moires double ports, vive (11-21) utilisent 
6galement une seconde paire (112, 212), de registres de donn6e pour 

10 permettre PaccSs en 6crtture de donn6es par le processeur principal (1), 
respectivement secondaire (2). Ce type d'architecture mSmoire double ports est 
disponible chez des foumisseurs tels que Motorola ou Texas Instrument. Les 
m6moires double ports , synchrones ou asynchrones, permettent d'acc6der, 
par deux voies distinctes, £ une zone d'adresse m6moire, en lecture ou en 

15 6criture. Elles sont utilis6es, en particulier, pour r6gler des processus de 
synchronisation entre systdmes distincts. L'utilisation de la m6moire double 
ports pour synchroniser des processus repose sur le fait que les processeurs 
peuvent acc6der a la m6moire par deux voies independantes (adresse et 
donn6es) de mantere synchrone ou asynchrone et partager des donn6es qui 

20 peuvent etre utilis6es simultan6ment. 

Les deux processeurs (1,2), leur bus (3,4) et leur m6moires 
(11,21:12,13,22) sont alimentes par des circuits communs d'alimentation (6) de 
fa$on d r6duire au maximum la distinction entre les appels 6nergetiques de Tun 
ou Pautre processeur. Avec le progrds des technologies du semi-conducteur, il 

25 est en effet possible aujourd'hui d'adjoindre sur une m£me puce deux 
processeurs qui n'occupent que quelques mm2 et done d'obtenir une solution 
6conomiquement viable, le surcout du deuxfeme processeur devenant tres 
faible, surtout si on le compare aux surfaces occupies par les m6moires vives 
(RAM) et non volatiles programmables (NVM). II est propose d'utiliser des outils 

30 de placement et de routage qui permettraient de fusionner les processeurs 
dans un seul et unique bloc de conception (design). Habituellement, Phomme 
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de metier, s'il a & implanter deux processeurs sur un m6me substrat avec des 
m6moires vives, mortes et non volatiles programmables, va chercher le 
regroupement des fonctions ainsi que le chemin optimum et le respect des 
contraintes de timing. Ceci va Tamener £ adopter une architecture et une 
5 implantation qui sera trds proche de celle representee a la figure 7, dans 
laquelle les deux processeurs (CPU1, CPU2) sont implantes 3 proximite Tun de 
I'autre, le circuit d'horloge (H) £ proximite des processeurs, les circuits 
p6ripheriques (14) constituant les entrees sorties sont egalement adjacents des 
processeurs, ainsi que ce que Ton appelle en terme de metier la "glue" logique, 

10 qui est un ensemble d'etements logiques necessaires au fonctionnement du 
circuit integre. Les autres elements constituant les m6moires vives RAM (11et 
21), morte ROM (12 et 22) et NVM non volatile programmable (13) seront 
disposes tout autour. Une particularite de rinvention reside dans le fait que les 
op6rateurs logiques, arithm6tiques, ainsi que les fonctions de centrales seraient 

15 melanges, au niveau des portes ou cellules eiementaires, les uns aux autres 
afin que Ton ne puisse determiner, a priori, ('emplacement physique d'une 
cellule appartenant a une fonction. Ainsi chaque processeur serait morcele en 
un certain nombre d'elements represents par des carr£s ou des rectangles sur 
la figure 6. Ces elements pourront etre implantes au milieu d'autres 

20 representes, par cercles et constituant les circuits d'horloge ou au milieu des 
elements hexagonaux constituant la "glue" logique ou encore au milieu des 
elements de forme trap6zoTdale constituant les circuits p6ripheriques ou enfin 
au milieu d'une combinaison de ces elements, comme repr6sente figure 6. 
L'implantation physique des circuits des deux processeurs sera 

25 avantageusement r6alis6e en utilisant une telle topologie completement 
banalisee sans blocs physiques fonctionnels facilement rep6rables comme 
e'est le cas habituellement. Une telle topologie est utilis6e dans les circuits 
"Gate Arrays" dont chaque cellule de la matrice peut contribuer a la realisation 
de n'importe quelle fonction. De cette maniere, les deux processeurs (1,2) 

30 peuvent etre physiquement imbriqu6s, malgr6 une organisation logique 
s6par6e, £ tel point que deux transistors adjacents peuvent appartenir soit d 
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Tun, soit a Pautre des processeurs ou de leurs circuits associ6s. Ceci est rendu 
possible par le fait que la classe de circuit a laquelle s'adresse le domaine de la 
carte £ microprocesseur n'impose pas des performances 6lev6es en terme de 
cycle d'horloge. Ce mode d'implantation des circuits est done particulierement 
favorable £ assurer la securite de Tensemble. Bien entendu, la realisation de 
tels circuits n6cessite un trace automatique assiste par ordinateur pour assurer 
un routage correct des signaux et une maitrise des fonctionnalites. On congoit 
done que les consommations de chaque bloc fonctionnel sont parfaitement 
imbriqu6es et se combinent completement. 

En outre, les deux processeurs peuvent communiquer, soit par 
Tintermediaire d'une liaison sp6cifique, soit par un jeu (50, 51, figure 2a) de 
registres de communication connectes aux bus (3,4), soit encore par vol de 
cycle sur le bus de ('autre processeur, soit encore par une logique d'arbitrage, 
dans le cas d f un bus partage entre les deux processeurs, comme represents 
figure 3. 

La figure 2a repr6sente, par exemple, une liaison utilisant deux 
registres (50,51) fonctionnant en mode interruption d I'aide des circuits de 
detection (B1,B2), mais on peut aussi utiliser un registre double acc§s (5) avec 
un protocole voisin de celui utilise dans les cartes d puces, e'est-d-dire dans 
lequel le processeur principal (1) est le maTtre. Dans Texemple de realisation 
selon la figure 2a, un premier registre (50) assure la liaison entre le bus (3) du 
processeur principal (1) et celui (4) du processeur secondaire (2), tandis qu'un 
second registre (51) assure la liaison dans ('autre sens. Chacun des premier 
(50), respectivement second (51), registres est muni d'une premiere bascule 
(B1), respectivement seconde bascule (B2), de memorisation qui passe a retat 
actif lorsqu'une information a ete postee dans le registre correspondant La 
sortie de la premiere bascule (B1) est reliee au systeme d'interruption du 
processeur secondaire (2), tandis que celle de la seconde bascule (B2) est 
reliee au systeme d'interruption du processeur principal (1). La taille des 
registres est suffisante pour contenir les demandes et les r6ponses de chacun 
des processeurs. La figure 2b represente la structure d'une trame avec un en- 



2787900 



tete, un champ de donn6es et un champ permettant de detecter les erreurs. 
Chaque trame peut constituer soit un bloc d'informations (bloc I), soit un bloc 
d'acquittement (bloc A), chacun de ces blocs pouvant etre transmis dans les 
deux sens. L'en-tete peut etre constitu6 de deux octets, le premier donnant le 
num6ro du bloc et le deuxieme la longueur. Lorsqu'un bloc est poste dans le 
premier registre (50), la bascule produit un signal qui est interprets comme une 
interruption IT1 par le processeur secondaire (2), lui permettant ainsi d'etre 
pr^venu qu'un message £ sa destination est present dans le premier rtegistre 

(50) . Le processeur secondaire (2) peut done saisir le bloc en lisant le contenu 
du premier registre (50), puis acquitter la reception du bloc par un bloc 
d'acquittement (bloc A) post§ dans le second registre (51) S destination du 
processeur principal (1) avec le mSme num6ro. Ce procede est connu pour 
permettre notamment le chainage des blocs, bien que ceci ne soit pas 
absolument n6cessaire dans le cadre de cette invention. Dans chaque bloc 
d'informations, le champ d'informations peut etre Iui-m6me divis6 en deux 
parties" Tun champ ~de" commandes et un champ de donn6es. Le champ de 
commande permet ainsi au processeur principal d'envoyer des instructions au 
processeur secondaire. Par exemple, on trouvera, sans que la liste soit 
limitative, les commandes suivantes: lecture, 6criture, verification d'une donn6e, 
authentification. Lorsqu'une commande est re?ue par le processeur secondaire 
(2), ce dernier acquitte la r6ception de cette commande par un bloc 
d'acquittement (bloc A) poste dans le second registre (51) et traite la 
commande en question avant de poster une r6ponse dans le second registre 

(51) sous forme d'un bloc d'informations (bloc I). La reception de ce bloc sera 
acquittee par le processeur principal (1), par un bloc d'acquittement post6 dans 
le premier registre (50) et ainsi de suite. La num§rotation des blocs permet de 
r6p6ter des blocs de donn6es mal transmis ou re?us. Bien entendu, le 
protocole, pour ^changer des informations entre le processeur principal et le 
processeur secondaire, peut etre utilise en sens inverse . 

Les deux programmes (P1, P2) s'ex6cutent respectivement dans le 
processeur principal (1) et secondaire (2) de telle sorte que deux instructions 
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s*ex6cutent simultanement. II est 6galernent possible de decaler les phases de 
Thorioge pilotant le processeur secondaire (2) de fa^on que les cycles 
destructions ne se correspondent pas exactement dans chacun des 
processeurs. Les decalages peuvent en outre £tre rendus variables et 
5 aleatoires, ce qui se traduira par des superpositions de cycles destructions 
egalement variables. Ces decalages peuvent etre engendres par le sequenceur 
(20) du processeur secondaire (2). 

Une solution avantageuse et economique consiste d utiliser une 
memoire "trompe-Pceir vive (DumRAM 21) de tr£s petite taille pour la memoire 

10 "trompe-l'oeil" du processeur secondaire (2). En effet, cette m6moire ne jouant 
aucun r6le reellement fonctionnel, on peut restreindre son espace adressable 
afin qu'elle tienne le minimum de place sur la puce. Cet espace peut 
correspondre, par exemple, d simplement ajouter une ou plusieurs lignes de 
memoire RAM dans la matrice de la memoire vive ; cet espace ayant ses 

15 propres registres d'adresse et de donnees. 

On peut laisser fonctionner le processeur secondaire (2) en 
permanence, mais il est preferable de disposer d'un canal de communication 
entre les deux processeurs qui peut etre avantageusement utilise pour activer 
le processeur secondaire (2) et/ou pour signaler au processeur principal (1) que 

20 le processeur secondaire (2) est op6rationnel et/ou execute r6ellement des 
taches. Les processeurs possedent au moins deux etats : actif ou inactif. Par 
exemple, Tetat actif correspond a Tex6cution d'une suite d'op6rations diverses 
et I'etat inactif peut etre realise par une boucle d'attente ne contenant aucune 
operation. Le passage d'un etat a I'autre s'effectue par un m6canisrne de 

25 communication entre les processeurs. Par exemple, le processeur principal 
peut activer un processeur secondaire inactif en envoyant une interruption £ 
celui-ci. Dans les variantes de realisation mettant en oeuvre le m6canisme 
d'activation les processeurs disposent chacun, soit d'une ligne d'interruption £ 
destination d'au moins un autre processeur, soit d'une ligne de reset. En effet 

30 une autre fa^on non pr6ferentielle de realiser le passage de I'etat active a retat 
desactive peut consister £ maintenir un signal de reinitialisation (reset) a 



BNSDOCID: <FR 2787900A1_L> 



15 



2787900 



destination du processeur qui doit §tre d6sactiv6 et a le supprimer lorsque le 
processeur passe & Petat active. Les moyens d'activation sont done les moyens 
qui permettent & un processeur de faire passer Pautre de P6tat activ6 3 Petat 
d6sactiv6 et inversement. 

Ceci peut se faire soit par un m6canisme d'authentification entre les 
deux processeurs, soit par un m6canisme de test de registre d'activite. Le 
m6canisme d'authentification est declench6 a la demande du processeur 
principal (1), ou pferiodiquement, ou encore al6atoirement. Des que le 
processeur principal (1) detecte une anomalie au cours de Pauthentification, il 
peut stopper tout traitement, ou se mettre dans une boucle d'attente. 

Pour ce faire, on peut utiliser un fonctionnement de ce type en mode 
interruption. Lors de Pinterruption g6n6r6e, par exempie, par Panomalie 
detectee au niveau du processeur principal (1), un dialogue s'engage entre les 
deux processeurs pour r6aliser une authentication pilotee par le processeur 
principal (1). Cette authentification consiste, par exempie, a faire chiffrer par le 
processeur principal (1) une donn6e sur la base d'une cl6 stockee dans une 
zone secrete d'une m6moire non volatile programmable (13, NVM) connectee 
au bus (3) du processeur principal (1). La donn6e chiffr6e est envoy6e au 
processeur secondare (2) par le canal de communication et ce dernier la 
dechiffre puis renvoie le rfesultat au processeur principal (1) qui compare le 
r6sultat du d6chiffrement a la donn6e. Si le r6sultat est correct, le processeur 
principal (1) peut continuer a travailler, sinon il entre dans une boucle d'attente 
en attendant la prochaine authentification. Ces m6canismes sont connus et ne 
posent pas de probleme particulier d Phomme de Part. 

Le processeur principal (1) peut aussi venir tester un registre d'activite 
dans la m6moire vive "trompe-Paeir (DumRAM, 22) du processeur secondare 
(2) et constater que ce registre est bien modifte £ chaque test. Si ce registre 
n'est pas modifi6. ie processeur principal peut suspendre son activite de fagon 
similaire d la pr6c6dente. 

Dans une variante, il est possible d'utiliser pour programme secondare 
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(P2), la copie d'une partie quelconque du programme principal (P1) en pointant 
au depart sur une adresse au hasard et/ou en operant sur des donn^es 
differentes de celles du programme principal. On aura ainsi Tassurance que ce 
programme ex6cutera des instructions plausibles mais inutiles au plan 
5 fonctionnel. 

On peut 6galement faire ex^cuter au processeur secondaire (2) un 
programme correle & celui qui est execute par le processeur principal de fa?on 
telle que les r6sultats intermediates de traitement n'apparaissent jamais au 
cours de Tex6cution. Supposons, par exemple, que Ton veuille dissimuler le 
10 r6sultat d'une operation F en faisant ex6cuter respectivement par chacun des 
processeurs deux fonctions f1 et f2 differentes de F mais choisies de telle sorte 
que le r6sultat de F puisse etre obtenu par une fonction g combinant ces deux 
fonctions differentes de telle fa9on que F = g (f 1 ,f2). 

Pour 6viter Tintroduction d'erreurs dans le code et/ou les donn6es de la 
15 carte et permettre 6galement d'effectuer des attaques contre la carte a puce 
(differential fault analysis, DFA) il est propos6 d'implanter des programmes 
« intolerants aux fautes ». Cette introduction .d'erreurs se fait notamment par 
des modifications instantan6es de I'alimentation et/ou de Thorloge (power/clock 
glitch). Dans Texemple ci-dessous (un programme de communication 
20 hypothetique), 1'attaquant chercherait £ modifier le comportement du 
branchement conditionnel (ligne 3) ou du decrement (ligne 6) afin de recevoir 
des donn6es au-deld de la zone m6moire normalement pr6vue 
(answer_address + answerjength) : 

1 b = answer address 



25 


2 


a = answerjength 




3 


if (a == 0) goto 8 




4 


transmit (*b) 




5 


b ="b + 1 




6 


a = a - 1 


30 


7 


goto 3 




8 
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Ces programmes « intolerants aux fautes » (c'est-3-dire capables de 
detecter des fautes) pour cartes d puce, ont par definition des taches 
redondantes qui sont ex6cutees sur les processeurs (CPU) d'une carte 
multiprocesseur. 

A certains points de "synchronisation" realises par un "verrou" materiel 
ou logiciel, tel qu'un compteur physique ou logique d6cr§ment6, ainsi qu'une 
instruction atomique de type transfert ("swap", "read-modify-write", connues par 
I'etat de Tart), 1'accord des taches redondantes sur l'ex6cution du programme 
est verifie par le ou les processus principaux. 

Un disaccord est consider^ par le processeur ayant proced§ & la 
verification comme signe d'une attaque. [.'introduction par un fraudeur 
d'erreurs dans le code de la carte devient alors beaucoup plus complexe du fait 
de ces verifications. Dans I'exemple ci-dessus, Tattaquant devrait parvenir £ 
modifier le comportement de deux (ou plusieurs) tSches de fa$on identique, ce 
qui paraTt pratiquement impossible (impracticable). 

En pratique, on cherchera d s6curiser Tint6grit6 des donn6es "critiques" 
du programme. Pour les variables, cette s6curisation peut se faire par 
duplication en m6moire. Chaque processeur (CPU) poss6de alors ses propres 
copies des variables en question qui sont stock6es dans une m6moire 
r6ellement fonctionnelle et non pas de type trompe-I'oeil. Dans notre exemple 
hypothetique, le d§cr6ment de la variable "a" (compteur de boucle) peut etre 
prot6g6e par la s6quence destructions ci-dessous qui est ex6cutee par 
chacun des processeurs : 

6 a = a - 1 

6' SYNCHRONISATION DES PROCESSEURS 
6 M if (a 1 != a) goto attack 

Ou "a 1 " est une copie de la variable "a" utilis6e par le deuxieme 
processeur et dans le cas ou "a" est different de "a' " le programme se branche 
sur la routine de traitement denomm6e "attack" qui prend les mesures 
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n6cessaires pour proteger la carte. 

Par exemple, suite a la detection d'une attaque, il y a branchement a 
Tetiquette (label) "attack" et la routine de traitement "attack" ex6cutera les 
operations adequates, telles que la reinitialisation (Reset) des 
5 microprocesseurs et/ou 1'effacement des cl6s en memoire non volatile 
programmable, par exemple du type E 2 PROM. 

On notera qu'il est egalement possible de securiser directement le 
controle de flux, c'est-£-dire le deroulement du programme. La donnee critique 
s6cuhs6e est alors le compteur ordinal des processeurs (ou une autre 

10 information Ii6e au compteur ordinal si les processeurs n*ex6cutent pas le 
m£me code). Apr6s chaque branchement (conditionnel ou inconditionnel) que 
Ton veut securiser, il faut que les taches redondantes comparent reformation 
sur la direction que les branchements respectifs ont pris. Dans Texemple 
hypothetique donn6 ci-dessus, le branchement conditionnel en ligne 3 peut 

15 alors etre s6curis6 par ^change et comparaison du compteur ordinal ou de 
reformation correspondante en lignes 4 et 8. 

Les operations d'echange et de comparaison peuvent etre realisees, 
soit en logiciel (de fa?on similaire a la sequence d'instructions 6 - 6" decrite ci- 
dessus), soit en materiel par un comparateur (8) tel que celui de la figure 4 qui 
20 est actionne par un signal resultant de Toperation de synchronisation et deiivre 
sur son entr6e de validation (80). Le comparateur (8) regoit egalement sur ses 
autres entrees (81, 82) les signaux repr6sentatifs des valeurs des compteurs 
ordinaux (PC, PC 1 ) respectifs £ chaque processeur principal (1) et secondaire 
(2). 

25 En cas d'attaque, le comparateur materiel (8) declenchera par le signal 

(attack interrupt) 6mis sur sa sortie (83), le traitement d'une interruption 
effectuant alors les operations adequates au travers du mecanisme 
d'interruption des microprocesseurs (exemple: Reset interrupt). 

On pourrait etre tente de dire que ces mecanismes s'apparentent a 
30 Texecution classique de programmes dans un systeme 6 deux processeurs, 
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mais les mecanismes de 1'invention sont tr6s diff£rents: 

* Les deux processeurs sont alimentes par les memes circuits, de 
fagon 3 melanger les differentes consommations instantan£es des deux 
processeurs et de leurs circuits assoctes. lis peuvent etre situ£s sur le meme 
substrat de silicium. 

* Les signatures des instructions utilis6es dans le processeur 
secondaire sont de nature & dissimuler Peffet des signatures des instructions 
ex6cutees dans le processeur principal 

* Le but du programme secondaire est d'ex£cuter des fonctions 
differentes du programme principal mais qui occultent celles de ce programme 
principal. On peut ainsi considerer un processus secondaire executant des 
taches sans aucune correlation avec le programme principal, voire m£me 
incoh£rentes ou, au contraire, faire r6aliser des taches paralleles au processus 
principal qui sont corr6l£es & ces dernteres dans le but de les dissimuler. 

* La taille de la m6moire vive "trompe-Poeil" peut souvent etre 
beaucoup plus petite que celle n6cessaire au deroulement normal d'un 
programme. 

* Le processeur principal n'ex£cute un programme sensible au sens de 
la s6curite que si le processeur secondaire est authentifte et/ou s'il est actif. 

* le contenu de la m6moire vive "trompe-Poeil" n'a pas d'importance 
fonctionnelle car elle ne sert qu'a brouiller les pistes dans la consommation 
energetique de Pensemble des m6moires. 

* il n'est pas n6cessaire de sauver et de restaurer les contextes des 
programmes secondaires 

Dans une autre variante de realisation, le processeur principal (1) active 
un compteur de temps (timer) (R3) initialise soit a Paide du g£n£rateur aleatoire 
(R1), soit £ partir du contenu de la m6moire non volatile programmable (13, 
NVM). Cette m6moire non volatile programmable (13) peut en effet contenir un 
nombre unique modifte d chaque utilisation. Quand le compteur de temps (R3) 
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arrive 3 £cheance au bout d'un temps imprevisible de I'exterieur, il declenche 
une authentification du processeur secondaire (2) par le processeur principal 
d). 

Dans une autre variante de realisation le registre (R2) peut, apr£s avoir 
5 et£ charge par des informations particulieres (par exemple venant d'une 
m6moire ou du g6n6rateur aieatoire (R1)), etre utilise pour declencher une 
interruption. 

Dans une autre variante de realisation, un g6n6rateur aieatoire (R1) est 
relie au systeme d'interruption (15) du microprocesseur principal (1) de fagon & 

10 engendrer des interruptions irr6guli6res et completement desynchronisfees par 
rapport a Tex6cution des programmes dans le processeur principal (1). Bien 
entendu, le systeme d'interruption peut etre masquable ou non en fonction du 
traitement consider. Dans ce cas f si Pinterruption est masquee, le 
fpnctionnement de Pensemble est classique en monoprocesseur, mais des que 

is le programme principal (P1) en cours veut se proteger contre d'eventuelles 
observations, il autorise cette interruption qui declenche Tauthentification et 
Tactivation du processeur secondaire (2). 

Dans une autre variante de realisation a bus commun partag£ entre au 
moins deux processeurs, par exemple n, chaque processeur (1a, 1b,...,1n f 

20 fig.3) est relie d une logique d'arbitrage centralis^e (8) par trois types de lignes, 
un premier requete de bus (31) (Bus Request), un second bus occupe (32) 
(Bus Busy ) et un troisteme scrutation de bus (33) (Bus Polling) du bus 
commun (3). Les deux premiers types, requete (31) et occup£ (32) sont 
constitu£s respectivement d'une seule ligne commune a tous les processeurs, 

25 tandis que le dernier type, scrutation (33) est une ligne individuelle 
(33a,33b,...,33n) a chacun des n processeurs (1a, 1b,...,1n). L'ensemble des 
processeurs se partagent au travers du bus unique (3) la m£moires vive (RAM), 
la m£moire morte. (ROM), la m£moire non volatile programmable (NVM) et le 
circuit d'entree sortie (I/O). 

30 Un processeur (par exemple, 1a) souhaitant acqu£rir le bus (3) indique 
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ce souhait sur la ligne de requete de bus (31). L'arbitre (8) interroge les autres 
processeurs (1b,...,1n) d'aprfes un algorithme bien determine (exemple : 
interrogation cyclique, scrutation de bus) sur les lignes de type scrutation 
(33b,...,33n) correspondant aux processeurs interrog6s. Le premier processeur 
interrog6 qui en avait fait la demande acquiert le bus et active la ligne bus 
occup6 (32) ( Bus Busy ). L'arbitre (8) ne reprend Interrogation qu'une fois le 
bus (3) Jib6r§ par le passage du signal transmis sur la ligne bus occupe (32) de 
I'etat actif d l'6tat inactif. On comprend done que, les processeurs sont 
connects sur un seul et m6me bus, dont ils se partagent les acc&s en 
multiplexant ces accfes dans le temps. 

Bien entendu, il est possible de combiner les effets des modes de 
realisation precedents et il n'est pas n6cessaire que le brouillage soit realist de 
fa?on continue. 

Ainsi, lorsque le programme principal (P1) execute des fonctions non 
"sensibles sur Ie~plan~s6"curitaire~le" brouillage" realise parTinvention peut etre 
rendu intermittent en ayant recours de fa?on intermittente au fonctionnement 
monoprocesseur, par exemple, pour delivrer des r§sultats au monde exterieur, 
& des fins de test, ou encore masquer les interruptions du compteur de temps 
(R3) ou du g6n6rateur aleatoire. Des qu'une fonction s6curitaire est mise en 
oeuvre, le programme principal (P1) autorise le fonctionnement du processeur 
secondaire (2) afin de "brouiller" le fonctionnement. 

En fait, la s6curit6 ne provient plus du fait que le processeur est 
cadence aleatoirement comme dans Tart anterieur, mais se situe au niveau de 
l'ex6cution simultan6e de deux programmes (P1.P2) de signatures differentes 
par deux processeurs (1 ,2) alimentes par les m§mes sources d'energie. 

L'organisation des programmes executes par le processeur principal (1) 
peut etre r6alis6e de telle manure que le fonctionnement du processeur 
principal soit pilots par un veritable systeme d'exploitation s6curitaire qui decide 
du type de brouillage a mettre en oeuvre en fonction du type de programme 
execute par la machine. Dans ce cas, e'est le systeme d'exploitation du 
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processeur principal (1) qui g£re comme bon lui semble les divers signaux de 
commande du processeur secondaire (2). II est £galement clair que le 
programme secondaire (P2) peut etre utilise pour r£aliser des fonctions utiles 
au programme principal (P1) f notamment des traitements qui peuvent accelerer 
5 le temps de traitement global. Ces traitements peuvent etre constitu6s , par 
exemple, par des preparations de calculs effectues par le programme 
secondaire mais utilises ulterieurement par le programme principal (P1). Bien 
entendu, on peut facilement g£n£raliser les m^canismes de Tinvention lorsque 
le processeur fonctionne en multiprogrammation, les programmes d'application 
10 pouvant alors etre considers comme autant de programmes principaux. 

Le g£n£rateur ateatoire et le compteur de temps vus plus haut ne 
posent pas de problemes particuliers de realisation et sont connus de I'homme 
de Tart lorsqu'ils sont utilises s6par6ment pour d'autres usages n'ayant aucun 
lien avec I'invention. 

15 Dans une autre variante il est possible de realiser Tinvention de telle 

sorte que les deux processeurs puissent alternativement jouer le r6le de 
processeur principal et de processeur secondaire. Cela suppose qu'un jeton de 
priorite soit echange entre les deux processeurs pour conferer & celui des deux 
qui le detient le r6le de maTtre d un instant donn6. 

20 D'autres modifications font 6galement partie de I'esprit de I'invention. 

Les variantes d£crites avec un mode de realisation limits & deux processeurs 
peuvent 6galement s'appliquer £ des modes de realisation d plusieurs 
processeurs et font partie de I'invention. Ainsi, a tout moment dans la 
description le terme m6moire morte doit etre compris comme £tant une ROM 

25 mais peut etre remplac£ par une PROM, EPROM, EEPROM ou encore tout 
autre type de m£moire non volatile programmable, morte ou vive. 
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REVENDICATIONS 

1. Circuit int6gr6 intelligent, caracteris6 en ce qu'il possede un 
processeur principal (1) et un systeme d'exploitation executant un programme 
principal (P1) pour constituer un processus principal r6alisant des taches, au 
moins un processeur secondaire (2) capable d'ex6cuter concurremment au 
moins un programme secondaire (P2) pour constituer au moins un processus 
r^alisant des taches, des circuits d'alimentation (6) communs entre les 
processeurs et des moyens permettant de s'assurer que le ou les processus 
secondaires d'6nergie similaire et de signature de fonctionnement differente, 
s'effectuent concurremment avec le processus principal en induisant dans les 
circuits d'alimentation, de fagon continue ou intermittente, des perturbations 
6nergetiques qui se superposent d celles du processus principal pour r6aliser 
un brouillage continu ou intermittent. 

2. Circuit integr6 intelligent selon la revendication 1, caract6ris6 en ce 
que les processeurs principaux ou secondaires sont chacun un 
microprocesseur ou microcalculateur s6curis6 

3. Circuit int6gr6 intelligent selon revendication 1 ou 2, caracteris6 en 
ce que Tactivation de ces moyens est declenchSe par le systeme d'exploitation 
du processeur principal (1) du circuit int6gr6 intelligent, de telle sorte que la 
s6curite suppl6mentaire cr6§e par les moyens ci-dessus ne depend que d'une 
decision resultant de Tex6cution par le processeur principal du systeme 
d'exploitation situ6 dans un endroit du circuit integr6 inaccessible de Texterieur. 

4. Circuit integr6 intelligent selon la revendication 1 ou 2, caracteris6 en 
ce qu'il possede une m6moire principale (12, 13), dediee au processeur 
principal (1), contenant le systeme d'exploitation dans au moins une partie de 
celle-ci inaccessible de Texterieur et accessible par au moins un des deux 
processeurs (1, 2) et une m6moire secondaire (21,22) respectivement dedtee 
au processeur secondaire (2). 
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5. Circuit integr6 intelligent selon Tune des revendications pr6cedentes, 
caracteris6 en ce qu'il possede au moins un bus (3,4) de communication entre 
les processeurs, leurs m^moires respectives et un circuit d'entr6e sortie 

6. Circuit integr6 intelligent selon Tune des revendications pr6cedentes, 
5 caracteris6 en ce qu'il est realist a I'aide de circuits logiques disperses sur le 

pu les substrats de fa?on que I'implantation physique des deux processeurs 
soit r6alisee sans blocs fonctionnels facilement rep6rables, par exemple par 
imbrication physique mais avec une organisation logique s6par6e. 

7. Circuit integr6 intelligent selon Tune des revendications pr^cedentes, 
10 caracteris6 en ce que le processeur secondaire (2) execute des taches du 

processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal (1). 

8. Circuit integr6 intelligent selon Tune des revendications pr6cedentes, 
caracteris§ en ce que le processeur secondaire (2) execute des taches du 

is processus secondaire corr6lees a celles du processus principal ex6cute par le 
processeur principal (1) de fagon telle que les r6sultats intermediates de 
traitement n'apparaissent jamais au cours du processus. 

9. Circuit integr6 intelligent selon Tune des revendications pr6c6dentes, 
caracteris6 en ce que le programme secondaire (P2) utilise un espace de 

20 travail plus petit que celui du programme principal (P1). 

10. Circuit int6gr§ intelligent selon Tune des revendications 
prfecedentes. caract6ris6 en ce qu'il poss6de des moyens de communication 
entre le processeur principal (1) et le processeur secondaire (2). 

11. Circuit integr6 intelligent selon Tune des revendications 
25 pr6c6dentes, caracteris6 en ce que les moyens de communication (50, 51, B1, 

B2) entre les deux processeurs permettent au processeur principal (1) de 
savoir si le processeur secondaire (2) est op6rationnel ou non. 

12. Circuit integr6 intelligent selon Tune des revendications 
pr6cedentes, caracteris6 en ce que les moyens de communication entre les 
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deux processeurs permettent au processeur principal (1) de realiser une 
authentification du processeur secondaire (2) 

13. Circuit int6gr6 intelligent selon Tune des revendications 
pr6c6dentes, caracteris6 en ce que le test d'authentification ou de 

5 fonctionnement du processeur secondaire (2) est realist en cours de traitement 
par le processeur principal (1). 

14. Circuit int6gr6 intelligent selon Tune des revendications 
pr6c6dentes, caracteris6 en ce que le moyen d'activation du processeur 
secondaire (2) est command^ soit par le processeur principal (1) et son 

10 programme principal (P1), soit par un systeme d'interruption (15), soit par un 
compteur de temps (R3), soit encore par une combinaison des trois 

15. Circuit integr6 intelligent selon Tune des revendications 1 a 7 ou 9 a 
14 , caract6ris6 en ce que le processeur secondaire (2) execute des taches du 
processus secondaire sans correlation avec celles du processus principal 

is ex6cut6es par le processeur principal (1). 

16. Circuit int6gr6 intelligent selon Tune des revendications 
pr6cedentes f caracteris6 en ce que le processeur secondaire (2) execute des 
taches du processus secondaire qui minimisent ou annulent les signatures de 
fonctionnement du processeur principal (1). 

20 17. Circuit int6gr6 intelligent selon Tune des revendications 1 d 14 ou 

16, caract6ris6 en ce que le programme secondaire (P2) met en ceuvre un 
processus corr6le au processus principal, de telle fa$on que la combinaison 
des deux processus fournisse une signature de fonctionnement du processeur 
secondaire (2) qui dissimule celle du processeur principal (1). 

25 18. Circuit int6gr6 intelligent selon Tune des revendications 1 £ 14 ou 

16 a 17, caract6ris6 en ce que le processeur secondaire (2) execute des 
taches corretees d celles du processeur principal (1) de fagon telle que les 
r6sultats intermediates de traitement n'apparaissent jamais au cours du" 
processus. 
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19. Circuit int6gr6 intelligent selon Tune des revendications 
precedentes, caracteris6 en ce que le processeur secondaire (2) peut se 
substituer au processeur principal (1) et r6ciproquement. 

20. Circuit int6gr6 intelligent selon Tune des revendications 1 a 14 ou 
5 16 a 19, caracteris6 en ce que le processeur secondaire (2) ex6cute des 

taches correl6es S celles du processeur principal (1) par synchronisation des 
processus et comparaison de valeurs de deux donn6es provenant chacune du 
processeur respectif executant son programme respectif. 

21. Circuit int6gr6 intelligent selon Tune des revendications 1 a 14 ou 
10 16 a 20, caracteris6 en ce que le processeur secondaire (2) execute des 

taches corr§l6es £ celles du processeur principal (1) par deduction logique du 
programme secondaire (P2) a partirdu programme principal (PI). 

22. Circuit integr6 intelligent selon Tune des pr6c6dentes caracteris6 en 
ce qu'il comporte au moins deux processeurs et chacun des processeurs (1, 2) 

15 possede un bus respectif (3, 4) auxquels sont relives les m6moires vives, 
mortes pour chaque processeur et non volatile pour le processeur principal. 

23 Circuit int6gr6 intelligent selon Punedes revendications pr6c6dentes 
caracteris6 en ce qu'il comporte une pluralite de processeurs dont chacun est 
reli6 £ un seul et mfime bus de communication multiplex^ entre les processeurs 
20 et un ensemble de m6moire vive, morte et non volatile reli6 £ ce bus, les 
conflits d'acc^s & ce bus commun etant g6r6s par un circuit d'arbitrage (8). 

24. Circuit int6gr6 intelligent selon Tune quelconque des revendications 
8, 15, 18, 20, 21 caract6ris6 en ce que le processeur secondaire (2) execute 
successivement et dans n'importe quel ordre, soit des programmes corr6les, 
25 soit des programmes sans correlation avec ceux executes par le processeur 
principal (1). 
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